Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO

Ja. Die DS-GVO verlangt in Art. 30, dass ein Verzeichnis aller Verarbeitungstätigkeiten erstellt werden muss. Es gibt nur wenige Ausnahmen von der Pflicht ein solches Verzeichnis zu führen, die im Regelfall für Vereine und Feuerwehren nicht gelten. Es muss folgende Punkte umfassen:

• Namen und Kontaktdaten des Verantwortlichen mit Ansprechpartnern, ggf. auch des Datenschutzbeauftragten
• Zweck der Verarbeitung (Mitgliederverwaltung, Lehrgangsverwaltung, Öffentlichkeitsarbeit, Kassenverwaltung, etc.)
• Betroffene Personengruppen (z.B. Mitglieder, Fördermitglieder, Lehrgangsteilnehmer, etc.) und Kategorien der Daten (Adressdaten, Geburtsdatum, Kommunikationsdaten, Bankdaten etc.)
• Beschreibung der Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden, z.B. andere Mitglieder, Verbände, Kreisausbildung, etc.
• Vorgesehene Fristen für die Löschung (wenn möglich, sonst Regeln für die Ermittlung)
• Allgemeine Beschreibung der technischen Sicherheit der Daten (wenn möglich)

Die Regeln für ein solches Verfahrensverzeichnis beziehen sich übrigens ganz bewusst nicht nur auf die EDV gestützte Verarbeitung von Daten. Auch für Aktenordner, Karteikarten oder andere „analoge“ Prozesse muss ein solches Verzeichnis geführt werden.

Ein Muster für ein solches Verzeichnis hat z.B. das Bayerische Landesamt für Datenschutzaufsicht erstellt: LINK

Datenschutzbeauftragter, Art. 27 DS-GVO und § 38 BDSG

Da die Feuerwehr eine gemeindliche Einrichtung ist, ist der Datenschutzbeauftragte der Kommune hier verantwortlich entsprechende rechtliche Vorgaben zu beachten und umzusetzen. Die Feuerwehr braucht somit keinen eigenen Datenschutzbeauftragten.

Die Feuerwehrvereine werden in der Regel auch keinen Datenschutzbeauftragten bestellen müssen. Dies ist erst erforderlich, wenn in dem Verein ständig 10 oder mehr Personen mit der automatisierten Verarbeitung von Daten beschäftigt sind. Beschränkt man den Zugriff auf die Vereinsdaten auf die wichtigsten Funktionsträger, sollte diese Grenze nicht erreicht werden.

FWportal kann hier durch sein fein einstellbares Berechtigungssystem helfen diese Regeln umzusetzen

Informationspflichten, Art. 12 ff. DS-GVO

Werden personenbezogene Daten direkt bei der betroffenen Person erhoben (z.B. Ausfüllen eines Mitgliedsantrages) so muss der Verein das Neumitglied über die Erhebung und den Umgang mit den erhobenen Daten informieren. (Art. 13 Abs 1 und Abs 2 DS-GVO).Entsprechend muss ein Beitrittsformular künftig folgende Informationen enthalten:

• Name und Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten (wenn bestellt)
• Zweck der Verarbeitung (einzeln aufgezählt)
• Rechtsgrundlage der Verarbeitung
• Empfänger oder Kategorien von Empfängern (z.B. Weitergabe von personenbezogenen Daten an Kreisausbildung, Verbände, alle Mitglieder, Veröffentlichung im Internet)
• Hinweis auf die Absicht Daten in Drittländer zu übermitteln
• Speicherdauer der personenbezogenen Daten
• Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Sperrung, Widerspruch)
• Hinweis auf jederzeitiges Widerrufsrecht der Einwilligung
• Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde

Nein. Die Regelung des neuen Art. 13 DSGVO, wonach den betroffenen Personen bei der Datenerhebung bei ihnen eine ganze Reihe von Informationen mitzuteilen sind, stellt auf den Zeitpunkt der Datenerhebung ab. Da die DSGVO aber erst zum 25.05.2018 in Kraft getreten ist, kann diese gesetzliche Regelung auch nur die Fälle der Datenerhebung erfassen, die ab dem 25.05.2018 erfolgen bzw. erfolgt sind. Eine rückwirkende Informationspflicht enthält die DSGVO nicht. Es steht aber natürlich jedem Verein frei, auch die Bestandsmitglieder entsprechend zu informieren.

Betroffenenrechte, Art. 15 ff. DS-GVO

Grundsätzlich darf ein Verein keine personenbezogenen Daten erheben, speichern oder weitergeben, wenn er nicht über eine Einwilligung verfügt oder eine entsprechende Rechtsgrundlage besteht.

Diese Einwilligung kann die betroffene Person jederzeit und ohne Begründung widerrufen. Es ist aber möglich, dass rechtliche Regelungen bestehen, die eine weitere Speicherung erfordern.

Weiter haben Betroffene das Recht auf Auskunft. Sie müssen auf Anfrage unverzüglich darüber informiert werden, welche Daten in welchem Umfang über sie gespeichert sind.

Wenn der Betroffene dabei feststellt, dass die gespeicherten Daten nicht korrekt sind, hat es ein Recht auf Berichtigung (beispielsweise Adressänderung).

In den folgenden Fällen haben Betroffene ein Recht auf Vergessen (d.h. die Löschung der Daten):

• Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig.
• Die betroffene Person widerruft ihre Einwilligung.
• Die personenbezogenen Daten wurden unrechtmäßig erhoben oder verarbeitet.

FWportal unterstützt bei der Umsetzung der Informationspflichten. Es ist möglich den Mitgliedern lesenden Zugriff auf ihre persönlichen Daten zu gewähren. So ist gewährleistet, dass jedes Mitglied jederzeit über die ihm zustehenden Informationen verfügt.

Nein. In Vielen Fällen müssen die Betroffenen eine Erlaubnis zum Erheben, Verarbeiten und Nutzen der Daten geben. Das ist nicht erforderlich, wenn Daten im Rahmen einer vertraglichen Beziehung erhoben werden müssen. Bei der Feuerwehr und bei den Feuerwehrvereinen ist diese vertragliche Beziehung die Mitgliedschaft. Die für die Mitgliederverwaltung erforderlichen Daten dürfen also auf jeden Fall verwendet werden.

Auftragsverarbeitung Art- 28 DS-GVO

Eine Auftragsverarbeitung liegt immer dann vor, wenn eine andere Person, Firma oder andere Stelle personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dies ist zum Beispiel auch der Fall, wenn EDV-Anlagen durch externe Dienstleister gewartet werden und dabei Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Die Nutzung von FWportal ist eine klassische Auftragsverarbeitung. Bereits vor der DS-GVO haben wir unseren Kunden die Möglichkeit geboten eine ADV abzuschließen. Mit den Änderungen unserer AGB zum 01.07.2018 schließen wir verbindlich mit jedem Kunden eine solche Vereinbarung.
Diese AGB findest du hier

Datenschutzverletzungen, Art. 33 u. 34 DS-GVO

Ob Hacker-Angriff, Einbruch ins Feuerwehrhaus, Diebstahl von Laptops oder der Verlust des USB-Sticks des Kassenwartes. Datenpannen können vorkommen und müssen innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden. Für diese Meldung gibt es nach Art. 33 DS-GVO bestimmte Mindestanforderungen. Die meisten Bundesländer wollen für solche Meldungen ein online Meldeportal einrichten.

FWportal hilft bei der Vermeidung solcher Datenpannen. Alle Daten sind passwortgeschützt und verschlüsselt abgelegt. Auf den Rechnern der Anwender sind keine Daten gespeichert. So sind sie selbst bei Diebstahl oder Verlust vor unbefugtem Zugriff geschützt.